Brasiliens Federala Polis och cybersäkerhetsforskare har framgångsrikt störtat en bankmalware-operation vid namn Grandoreiro som har varit involverad i finansiell bedrägeri i spansktalande länder sedan 2017.
Operationen genomfördes med stöd från ESET, Interpol, Spaniens nationella polis och Caixa Bank, som förseglade viktig information för att identifiera och gripa individer som kontrollerade denna malwares infrastruktur.
Brasiliens federala polis meddelade fem gripanden och genomförde tretton razzior i Sao Paulo, Santa Catarina, Para, Goias och Mato Grosso.
”Den 30 januari initierade Federala Polisen operation Grandoreiro för att bekämpa den kriminella verksamheten hos en grupp som ansvarade för bankbedrägerier med denna malware, som ägde rum utanför Brasilien”, meddelade den brasilianska polisen i ett översatt pressmeddelande.
”Det beräknas att brottsstrukturen ansvarig för denna typ av bedrägerier har flyttat minst 3,6 miljoner euro sedan 2019”.
Enligt Caixa Banks data är operatörerna av denna malware kopplad till bedrägerier som orsakade förluster på cirka 120 miljoner dollar.
Grandoreiro Malware
Grandoreiro är en Windows banktrojan som först dokumenterades av ESET år 2020 och har varit ett stort hot mot spansktalande individer sedan starten 2017.
Malwaren övervakar aktivt användarens skärm och letar efter internetbläsarprocesser relaterade till bankaktiviteter. Om det hittar en match inleder det kommunikation med kommando- och kontrollservrar.
Angriparna måste manuellt interagera med malwaren för att utföra finansiellt stöld, som att injicera webbsidor. Det betyder att det används en riktad och interaktiv metod.
Malwaren kan visa falska popup-fönster som föreställer sig att vara legitima tjänster för att stjäla inloggningsuppgifter. Den kan också imitera mus- och tangentbordsrörelser, ta skärmdumpar, blockera skärmsynligheten och spela in alla tangentryck.
Skaparna av Grandoreiro släppte regelbundet uppdateringar och lade till nya funktioner och utökade möjligheterna hos denna malware, vilket indikerar de pågående aktiviteterna hos dess operatörer.
I augusti 2022 uppmärksammade en rapport från Zscaler en Grandoreiro-kampanj riktad mot högt rankade anställda inom spanska och mexikanska företag.
Sporransvar och Offer
Genom spårnings- och analysmetoder lyckades ESET lokalisera Grandoreiro-servrar, trots malwares användning av en domängenereringsalgoritm (DGA). Forskare analyserade DGA-mekanismen som genererar en ny domän varje dag och fann att den använde aktuellt datum och förprogrammerade konfigurationer, vilket möjliggjorde förutsägelse av framtida domäner.
”ESET extraherade totalt 105 olika DGA-identifierare från Grandoreiro baserat på tillgängliga prover”, förklarade ESET.
”Minst 79 av dessa konfigurationer genererade domäner som löstes till en aktiv IP-adress för en C&C-server under vår spårning.”
Säkerhetsföretaget observerade att domäner som genererats av olika DGA-konfigurationer löstes till samma IP-adresser, vilket indikerade att många offer var anslutna till samma C2-server.
Med denna information kunde Grandoreiros infrastruktur korrekt klassificeras och ESET samlade in data om antalet offer och omfattningen av operationen.
Majoriteten av offren kommer från Spanien, Mexiko och Brasilien, och de vanligaste operativsystemen som används är Windows 10, 7, 8 och 11.
Grandoreiro Offer efter Windows OS-version
Enligt ESET:s data fanns det 551 unika anslutningar till Grandoreiro-infrastrukturen per dag, varav 114 var ”nya offer dagligen”.
Om detta ska extrapoleras över ett år kan Grandoreiro potentiellt infektera över 41 000 nya datorer.
Det är för närvarande oklart om de gripna individerna spelade en nyckelroll i operationen eller om det finns en risk för att Grandoreiro dyker upp igen i framtiden med ny infrastruktur.
Dock har denna senaste åtgärd störtat verksamheten med denna malware och tillfälligt stoppat dess spridning.
Vanliga frågor (FAQ) baserat på huvudteman och informationen som presenteras i artikeln:
1. Vad är Operation Grandoreiro?
Operation Grandoreiro är en åtgärd som utförts av Brasiliens Federala Polis och en forskargrupp inom cybersäkerhet för att störa en bankmalware vid namn Grandoreiro som har varit inblandad i finansiell bedrägeri i spansktalande länder sedan 2017.
2. Vilka institutioner samarbetade i denna operation?
Operation Grandoreiro innefattade Brasiliens Federala Polis, ESET, Interpol, Spaniens nationella polis och Caixa Bank.
3. Vilka var resultaten av Operation Grandoreiro?
Som en del av Operation Grandoreiro gjordes fem gripanden och tretton razzior genomfördes över olika regioner i Brasilien.
4. Vad är Grandoreiro?
Grandoreiro är en banktrojan för Windows-system som uppstod 2017. Den utgör ett betydande hot mot spansktalande individer. Denna malware söker efter internetbläsarprocesser som är relaterade till bankaktiviteter och försöker stjäla inloggningsuppgifter.
5. Hur opererar skaparna av Grandoreiro?
Skaparna av Grandoreiro släpper regelbundet uppdateringar där de lägger till nya funktioner och utökar möjligheterna hos malwaren. Den här malwaren kan visa falska popup-fönster, efterlikna mus- och tangentbordsrörelser och spela in tangentryck.
6. Hur spårade ESET Grandoreiro-operationen?
Genom spårnings- och analysmetoder kunde ESET lokalisera Grandoreiro-servrar, trots att malwares använde en domängenereringsalgoritm. Forskarna analyserade algoritmen och kunde förutsäga framtida domäner, vilket möjliggjorde för dem att spåra operationen och identifiera nya offer.
7. Vilka var offren för Grandoreiro?
Majoriteten av Grandoreiros offer kommer från Spanien, Mexiko och Brasilien. De vanligaste operativsystemen som används är Windows 10, 7, 8 och 11.
8. Har Operation Grandoreiro helt avslutat verksamheten för denna malware?
För närvarande är det oklart om de gripna individerna spelade en nyckelroll i operationen eller om det finns en risk för att Grandoreiro dyker upp igen i framtiden med ny infrastruktur. Dock har operationen störtat malwarens verksamhet och tillfälligt stoppat dess spridning.
Relaterade länkar:
– ESET (https://www.eset.com/)
– Interpol (https://www.interpol.int/)
– Caixa Bank (https://www.caixabank.es/)
The source of the article is from the blog maltemoney.com.br